Anthos の詳細: サービスベースのアーキテクチャに向けた機能強化

※この投稿は米国時間 2020 年 5 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。

 2 週間前、Anthos に対する多くの新しい機能強化について発表しました。これには、疎結合のマイクロサービスを、必要な場所でどこからでも効率的に実行、管理できる新機能などが含まれます。本日は、こうした一連のサービスや、このモデルへの移行に関する支援状況について詳しくご説明します。

おおかまに言えば、サービスベースのアーキテクチャの主なメリットは、中断を最小限に抑えながら変更をロールアウトできるスピードです。より小型の独立コンポーネントをマイクロサービスベースのアーキテクチャで使用すると、開発とデプロイの迅速化、テクノロジーの選択肢の増加、チームの自立性の向上が可能になるため、新しいプロダクトやアップグレードされたプロダクトをお客様にすばやくロールアウトできます。

しかし、マイクロサービスの使用増加にともなって新たな課題に直面することが多く、最新のデプロイ方法や管理方法を採用しなければならない可能性があります。Anthos Service Mesh を使用すると、次のようなメリットがあります。

●サービスの状況をより詳細に把握する

●サービスを制御するポリシーを設定する

●サービス間の通信をセキュリティで保護する

これらすべてが、アプリケーション コードを変更せずに実現できます。

Anthos Service Mesh の仕組みと、それを使用してより効率的なサービスベースのアーキテクチャを導入する方法について詳しく見ていきましょう。

モニタリングと SLO の向上

モニタリングを行うようにすると、Anthos Service Mesh を利用してサービスレベル目標（SLO）を実装できます。SLO（1 週間のローリング ウィンドウで 99% の可用性など）を設定し、その SLO にアラートを設定することで、顧客に認識される前にスタッフがプロアクティブに問題を把握できます。SLO が達成されていない場合や、エラー バジェットを超えた場合は、アラート（メール、ページ、UI 警告など）をチームに送信できます。これは、安定性と信頼性が制御されるまでデプロイを停止するか遅らせる必要があることを示しています。

次の「cartservice」のスクリーンショットは、このサービスに関連するゴールデン シグナル、その健全性、サービスが実行されているインフラストラクチャへのリンクを示しています。

モニタリング、SLO、アラートを通じて、チームはサービスの健全性について詳しい情報を取得し、その健全性を制御できるため、顧客に対するプロダクトの信頼性とパフォーマンスが改善されます。

たとえば、Google Cloud Partner であるコロケーション プロバイダの Equinix は Anthos と Anthos Service Mesh を使用して、顧客が環境を可視化できるようにしています。これにより、顧客はデプロイにおいてより適切な決断を下すことができます。

プラットフォーム アーキテクチャおよびエンジニアリング担当シニア バイス プレジデントである Yun Freund 氏は、次のように述べています。「Equinix では最高のパフォーマンスをお客様に提供することを最優先事項としています。Equinix Cloud Exchange Fabric のネットワーク分析情報と Anthos を使用すれば、お客様のアプリケーションのパフォーマンスに関する豊富な情報にアクセスできるサービス メッシュを構築できます。これによって取得した指標を使用することで、最適なエンドツーエンドのユーザー エクスペリエンスを実現できるワークロードの実行場所をお客様におすすめできます。」

ポリシー、暗号化、認証によるセキュリティ

多くのお客様、特に金融サービスやヘルスケアのような規制が多い業界のお客様は、セキュリティに関して妥協がゆるされません。Anthos Service Mesh では、ワークロードとの間の通信がすべて確実に暗号化、相互認証、承認されるようにポリシーを設定することで、データ侵害のリスクを軽減できます。この措置は内部関係者による脅威からの保護にも有効です。

しかし、従来のルールと IP ベースのパラメータを使用して厳格なポリシーを実装、維持、更新するのは難しい場合があります。デプロイのスケールアップとスケールダウン中にこれらのポリシーを適用するのはさらに困難です。特に難しいのは、ハイブリッド環境やマルチクラウド環境にまたがるコンテナやサーバーレスなどのテクノロジーを利用している場合です。

Anthos Service Mesh では、ID、対象のサービス、受信リクエストのコンテキストなどのパラメータを使用して、コンテキストアウェアのアプリケーション セキュリティを実装できます。また、IP アドレスなどのネットワーク プリミティブに依存せずに、これらすべてに対応することもできます。このように、Anthos Service Mesh は BeyondCorp や BeyondProd などのベスト プラクティスを実装する過程で、多層防御やゼロトラストのセキュリティ戦略を導入する際に役立ちます。

また、Anthos Service Mesh は Mesh CA（マイクロサービスの証明書を発行できるフルマネージド認証局）も提供し、mTLS に基づく「ゼロトラスト」セキュリティ体制を可能にします。Mesh CA は Anthos GKE で実行されているワークロードで一般提供されるようになりました。

トラフィック管理

最後になりますが、Anthos Service Mesh をデプロイして、より安全で制御されたリリースのプロセスを実現し、サービス間のトラフィック フローをより詳細に制御できます。Anthos Service Mesh には、メッシュ内のトラフィックを微調整できるトラフィック機能が数多く含まれています。たとえば、組み込みのカナリア機能を使用して、トラフィックのごく一部を新しいバージョンにルーティングしてからすべてのユーザーにロールアウトできます。または、さまざまな負荷分散機能や位置情報に基づくルーティングを利用して、トラフィックを制御することもできます。信頼性を高めるための再試行や、復元力をテストするためのフォールト インジェクションなどの他のポリシーは、ユーザー エクスペリエンスを最大限に高めながら、新しいプロダクトをロールアウトするために役立ちます。

今年後半に、Anthos Service Mesh は Traffic Director（サービス メッシュ用の管理対象構成やトラフィック コントロール プレーン）とも統合されます。Traffic Director はサービス メッシュのトラフィック管理の基礎（サービス ディスカバリ、エンドポイント登録、ヘルスチェック、負荷分散など）で利用され、宣言型のオープンソース Istio API を使用しながら、Blue/Green デプロイや回路遮断などの強力な DevOps ユースケースを実現します。

Google で管理

Anthos Service Mesh はオープンソースの Istio サービス メッシュをベースとしていますが、マネージド サービスとして提供されます。基盤となるソフトウェアのモニタリング、管理、アップグレードについて心配することなく、サービス メッシュのすべてのメリットが得られます。

マネージド サービスの一部として含まれるサービス メッシュ ダッシュボードには、上記のすべてのモニタリング機能と SLO 機能に加え、単一ツールへのテレメトリー、ロギング、トレースも揃っています。これらの機能はすべて一般提供（GA）され、完全にサポートされています。アプリケーション チームは強力な一連の運用ダッシュボードをすぐに使用でき、複数のオープンソース プロジェクトに依存してそのデプロイや保守に取り組む必要がありません。

また、Traffic Director、Mesh CA、Anthos サービスのテレメトリー ダッシュボードなどの Anthos Service Mesh コンポーネントはすべてマネージド サービスであるため、各コンポーネントのインストール、アップグレード、保守について心配する必要がありません。Google の SRE によってサポートされます。

Anthos Service Mesh の今後の展開

Anthos Service Mesh の次なる課題は、コンテナだけでなく仮想マシンをメッシュに結合しやすくすることです。Google は簡単に新しい VM や既存の VM をメッシュに追加できるように積極的に取り組んでいるため、VM ベースのワークロードで前述のすべての機能を使用できます。

今週後半に開催するウェブセミナーでは、Anthos の最新機能を使用して、復元力を備えたアプリケーションを作成する方法と、アプリケーションの実行場所に関係なく SRE とセキュリティのベスト プラクティスに準拠する方法をご説明します。2020 年 5 月 8 日に開催されるこのウェブセミナーには、こちらからご登録いただけます。

- By Anthos Service Mesh プロダクト マネージャー Chris Crall